Комментарии 7
И чо?
Если перейти по ссылке на новость в opennet, а после на оригинальную, то можно заметить такую незначительную строчку:
То есть, платные версии gitlab могут получить js код, который может слить содержимое репозиториев для «аналитики». Так как фиг знает что за код могут дать сторонние поставщики.
В том числе явно допускается размещение проприетарного JavaScript-кода для сбора телеметрии, полученного от сторонних поставщиков
То есть, платные версии gitlab могут получить js код, который может слить содержимое репозиториев для «аналитики». Так как фиг знает что за код могут дать сторонние поставщики.
Pendo соответствует стандарту SOC2.
Исправьте, пожалуйста: SOC2 это не «стандарт». Это такой бэйдж, который можно получить, заплатив за «аудит». Что для этого нужно — полностью на усмотрение аудитора, SOC только описывает, как бумажки оформить. Там, в частности, есть такие вот «небольшие» требования:
The entity protects personal information during system design, development, testing, implementation, and change processes to meet the entity's objectives related to privacy.
Вы думаете, там дальше подробно расписано, что делать? Нет, это вы сами с вашим «аудитором» придумаете и сами себе оценку выставите по вами же придуманному критерию. «За всё хорошее, против всего плохого!»
Как минимум это нас остановило от обновления, т.к. очень странным видится данное нововведение,
Да и не проходит оно наши проверки иб в таком виде.
а как проходят ваше иб не исправления уязвимостей и багов которые вы не пофиксили не обновившись?
Взвешиванием всех «за» и «против».
Ввиду того, что компания связана с ВПК, любые механизмы с неконтролируемым сбором данных прибавляют +100500 к весу чаши «против».
В данном случае, не смотря на то, что сервера абсолютно изолированы от глобальной сети, js-ка выполнялась бы на клиентской машине, в числе которых есть расположенные вне «колпака» (через туннели подключаемые к сети).
Да и вообще не ясно, зачем такой механзим нужно в hosted версию добавлять.
Благо, они услышали голоса заказчиков и пересмотрели свои планы, но все равно знатно подмочили свою репутацию, кмк.
Ввиду того, что компания связана с ВПК, любые механизмы с неконтролируемым сбором данных прибавляют +100500 к весу чаши «против».
В данном случае, не смотря на то, что сервера абсолютно изолированы от глобальной сети, js-ка выполнялась бы на клиентской машине, в числе которых есть расположенные вне «колпака» (через туннели подключаемые к сети).
Да и вообще не ясно, зачем такой механзим нужно в hosted версию добавлять.
Благо, они услышали голоса заказчиков и пересмотрели свои планы, но все равно знатно подмочили свою репутацию, кмк.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
GitLab проводит изменения для пользователей облачных и коммерческих продуктов